7 Wi-Fi y QoS Las redes Wi-Fi, al ser redes inalmbricas de canal compartido entre todos los clientes de una

celda, implementan controles de acceso al medio, necesarios para evitar colisiones e interferencias en caso de que ms de un usuario emita al mismo tiempo, como ya se pudo ver en apartados anteriores. Estos mecanismos son el CSMA/CA y el RTS/CTS que se engloban dentro de lo que se denomina DCF (Distributed Coordination Function).

Sin embargo este sistema de control de acceso al medio no previene que un cliente pueda monopolizar el medio en mucha mayor medida que el resto, afectando al servicio en la celda e imposibilitando su utilizacin con algunas aplicaciones sensibles al retardo y el jitter.

Una primera solucin a este problema viene de la mano de un sistema de control que recibe el nombre de PCF (Point Coordination Function). Dicho mecanismo solo es funcional en redes de tipo infraestructura, nunca en redes ad-hoc, pues ser el punto de acceso el encargado de realizar dicho control. Cuando se activa el PCF, el tiempo que existe entre dos paquetes beacon (aquellos que usa el punto de acceso para anunciar su presencia y las caractersticas de la red) enviados por el punto de acceso, se divide en dos periodos CFP (Content Free Period) y CP (Content Period). Durante el periodo CFP el funcionamiento de la red es como se ha explicado hasta el momento a lo largo del documento, mientras que durante el CP, los clientes no emitirn por iniciativa propia, si no que el punto de acceso le enviar un paquete a cada usuario por turnos, dndoles la oportunidad de emitir. El cliente aprovechara la oportunidad para emitir o, si no tiene datos para enviar, responder con un paquete indicndolo. Con este mtodo se permite evitar el monopolio de un cliente, permitiendo a todos la emisin de datos con una frecuencia aceptable.

Sin embargo, este sistema no es capaz de diferenciar los tipos de trfico, solo diferencia a los clientes, y tratar igual tanto a un cliente que deba transmitir video, como al que espere emitir datos o voz. Aadido a esta limitacin, existen muy pocos sistemas en el mercado que implementen este mtodo de control.

Las necesidades de los distintos trficos, expuestas en el apartado anterior, hacen necesario que este sea gestionado de manera eficiente para que los servicios puedan ser ofrecidos con la calidad debida.

Puesto que cada servicio, cada tipo de trfico, tiene unas necesidades diferentes, es preciso diferenciarlo y aplicarle un tratamiento individual acorde a sus requerimientos. Este proceso recibe el nombre de calidad de servicio y se referencia por las siglas QoS (Quality of Service).

La aplicacin de polticas de QoS no solo proporciona la posibilidad de ofrecer datos, voz y videos con calidad, si no que aporta herramientas para priorizar trficos, ya sea por la naturaleza de ste (priorizar web, sobre el correo, y todas sobre las transferencias de ficheros P2P), o por el origen (el trfico de la direccin de un centro escolar podr ser priorizado sobre el de los alumnos).

No es suficiente con disponer de ancho de banda suficiente. Un sistema que deba transmitir datos sensibles, como voz o video, debe de implementar necesariamente QoS. La razn es simple, si durante una transferencia de voz o video, se produce una descarga de datos, esta podra ocupar todo el ancho de banda disponible. De hecho, la misma naturaleza de la transferencia de datos suele hacer deseable que as sea, pues la descarga llevar menos tiempo. La red debera sacrificar paquetes de datos en favor de los de voz o video, pues los primeros tienen mecanismos de recuperacin y la nica consecuencia ser una ralentizacin del servicio y no interrupcin de ste, como pasara si el sacrificio lo realizara el trfico de voz o video.

Sin embargo el problema no surge solo en ese caso, pues aunque la descarga de datos no demande la velocidad mxima de transferencia, emitir trfico, y el dispositivo de red, en nuestro caso el punto de acceso o el controlador de la red Wi-Fi, deber tener mecanismos para decir que paquetes ha de emitir antes y/o con una cadencia fija, minimizando las perdidas, la latencia, el jitter, las rfagas, etc.

Para conseguir este objetivo y minimizar los problemas en la transmisin de contenido multimedia, existieron protocolos propietarios, pero en un entorno como el de las redes Wi-Fi, donde es posible tener control sobre los puntos de acceso pero no sobre los clientes, donde suelen convivir distintos dispositivos y de distintos fabricantes, no resultaba funcional ni se obtenan los resultados deseados. Fue con la llegada del protocolo 802.11e y su respaldo por parte de la Wi-Fi Alliance con su certificacin Wireless Multimedia Extension (WME), ms conocida como Wi-Fi MultiMedia (WMM), cuando la QoS llego al mundo Wi-Fi.

7.1

802.11e (WMM)

Por lo expuesto en el punto anterior, surgi la necesidad de tener algn mecanismo, no solo para que todos los clientes pudieran transmitir sus datos eficientemente, si no tambin para priorizar la transmisin de los datos sensibles, razn por la cual se desarroll la norma 802.11e.

La norma 802.11e clasifica el trfico en cinco categoras, dependiendo las necesidades y caractersticas del trfico. Estas categoras ordenadas de la ms prioritaria a menos prioritaria son:

Voz (AC_VO): A esta categora pertenecer el trfico de Voz. Video (AC_VI): Categora en la que se encuadrar el trafico de video que necesite prioridad, lo cual, en principio, debera excluir al video Flash. Best Effort (AC_BE): Trfico que deber transmitirse tan pronto como sea posible, tras atender a aquel que le sea mas prioritario. Trfico de este tipo podra ser una sesin Telnet o de control remoto de un equipo, trfico que aunque no sea tan crtico como los anteriores si ser sensible a lentitud y perdidas, dando sensacin al usuario de falta de respuesta. Background (AC_BK): Es el trfico que no entra en ninguna de las otras categoras. Es el trfico de fondo o de relleno, de aquellas aplicaciones que no necesitan un tratamiento especial, como puede ser correo electrnico, la trasferencia de ficheros o el acceso a pginas WEB. Legacy DCF: Esta no es realmente una categora contemplada en la norma 802.11e, pero aun as es un grupo de trfico que recibe un tratamiento diferente. Engloba a todo el trfico que no tenga tratamiento prioritario, normalmente gestionado por equipos que no cumplen con la norma 802.11e y por tanto no se engloba en ninguna de las categoras que la norma prev. Por esta razn, no tener indicacin de la prioridad con que ha de ser tratado, ser el menos prioritario de todos. Esta norma amplia los sistemas de control existentes hasta el momento, DCF y PCF, con un nuevo esquema denominado HCF (Hybrid Coordination Function) que define dos mtodos de acceso al canal para la emisin de datos, priorizando aquellos que mas sensibles sean: Enhanced Distributed Channel Access (EDCA) y HCF Controlled Channel Access (HCCA).

Ambos mtodos tienen una base comn, siendo el EDCA el ms extendido y obligatorio para los sistemas certificados Wi-Fi y que soporten WMM. El mtodo HCCA incorpora un mayor control del trfico, pero su cumplimiento

es opcional y a da de hoy esta menos extendido y es soportado por un nmero muy reducido de sistemas.

7.1.1

Enhanced Distributed Channel Access (EDCA)

Este mtodo, de obligado cumplimiento para los equipos que posean la certificacin WMM de la Wi-Fi Aliance, se basa en la variacin de los temporizadores presentes en los controles estndar de las redes Wi-Fi.

Para comprender el funcionamiento, previamente ser necesario conocer los mecanismos que regulan el momento de transmisin de los clientes y su acceso al medio.

Aadido a la regulacin impuesta por los controles DCF (que a su vez se compone de los controles CSMA/CA y RTS/CTS), existe una regularizacin en el momento de acceso a la red, principalmente orientado a evitar la monopolizacin del canal por un terminal y minimizar el acceso simultneo al canal de dos o ms terminales.

Para ello, un cliente que ha transmitido datos, no podr volver a transmitir hasta pasado un tiempo fijo, que recibe el nombre de Arbitration InterFrame Space (AIFS). Esta espera posibilita a otros sistemas tener la oportunidad ocupar el canal y transmitir, pues de otra forma una sola estacin podra estar emitiendo continuamente no dando opcin a otra a hacerlo pues siempre veran el canal ocupado y segn el protocolo CSMA/CA no podran transmitir para evitar colisiones.

Para minimizar la situacin en que los terminales que deseen emitir comprueben la ocupacin del canal simultneamente y emitan colisionando, y lo que es mas importante, que entren en un bucle en el cual siempre comprueben la ocupacin del canal y emitan a la vez, tras esperar el tiempo AIFS, realizarn una segunda espera, durante un tiempo aleatorio que recibe el nombre de Contention Window (CW). Este valor ser obtenido como un tiempo aleatorio entre un valor mximo y uno mnimo fijado en la red. De manera que, dado su carcter de aleatoriedad evitara en gran medida que dos terminales accedan al medio en el mismo instante.

La variante de la norma 802.11e basada en el algoritmo EDCA acta sobre estos tiempos, AIFS, CW mximo y CW mnimo. En base a las cuatro

categoras que contempla la norma, fija unos valores de tiempo AIFS menores para las ms prioritarias con respecto a las menos prioritarias. As mismo los valores de CW mximo y CW mnimo sern menores cuanto ms prioritaria es la clase de trfico. Todos estos valores, claramente sern menores que los valores adjudicados para el trfico que no cumple con la 802.11e.

Puesto que los tiempos que ha de esperar el trfico ms prioritario para volver a transmitir, ser menor que el trfico menos prioritario, estadsticamente se favorecer la transmisin del trfico ms sensible y perteneciente a una clase de mayor prioridad que el menos sensible.

7.1.2

HCF Controlled Channel Access (HCCA)

Este sistema de QoS sobre redes Wi-Fi es ms avanzado que el EDCA y permite un mejor control del trfico emitido en la red. Sin embargo se considera opcional dentro de la certificacin Wi-Fi WMM. Su carcter no obligatorio, junto con la mayor complejidad de implementacin hace que pocos puntos de acceso y clientes Wi-Fi lo implementen.

Se puede entender el HCCA como una variacin mas elaborada del PCF. Un punto de acceso que cumpla con HCCA, enviar una trama a cada uno de los clientes de forma secuencial, interrogndolos con el objeto de saber si disponen de trfico para enviar, al igual que en el protocolo PCF.

La diferencia consiste en que ante esta trama los clientes no respondern con un mensaje indicando que no disponen de trfico para transmitir, o transmitindolo en caso contraro, si no que informarn al punto de acceso de si disponen de trfico, y que tipo de trfico, es decir, cuanto trfico en cada una de las categoras previstas por la norma 802.11e tienen esperando para ser enviado.

El punto de acceso, con el conocimiento del tipo de trfico que tiene cada uno de los clientes, decidir cual de ellos ha de transmitir. As pues ser el punto de acceso quien indicara a los clientes elegidos que pueden transmitir y el intervalo de tiempo que tienen para hacerlo. Con ello, al tener un director del trfico con conocimiento y datos objetivos de decisin, se consigue una transmisin ordenada y que proporciona la calidad de servicio deseada.

Por su parte, los clientes debern tener varias colas de espera, donde almacenarn los paquetes de cada una de las categoras por separado, para ser enviadas cuando el punto de acceso se lo indique. As mismo debern implementar un algoritmo de calidad que permita priorizar el trfico de las diversas categoras y enviarlo de la forma adecuada cuando tenga posesin del canal.

Como puede verse este mtodo de control de la calidad de servicio implica una mayor inteligencia en los dispositivos, lo que se traduce en procesadores mas potentes, mas memoria, mejor y mas elaborado software y todo en ello implica un mayor coste, lo cual motiva que no suela ser implementado en los dispositivos Wi-Fi de uso general.

7.2

Sistemas propietarios

Desde la aparicin de la norma 802.11e y sobre todo desde la existencia de la certificacin Wi-Fi WMM no existen sistemas propietarios Wi-Fi que implementen redes ad-hoc o del tipo infraestructura. Es lgico si tenemos en cuenta que tanto el punto de acceso como los clientes han de hablar el mismo protocolo, y es fcil controlar el punto de acceso que se instala, pero, en la mayora de los casos, tener control sobre los clientes resultar imposible y estos sern de diversos fabricantes y por tanto incompatibles con sistemas propietarios.

El escenario cambia en los enlaces punto a punto, como la unin de edificios. En ese caso ambos extremos suelen implementarse con equipos del mismo fabricante, pues de otra forma lo ms probable ser que aparezcan problemas de incompatibilidades, pues como se coment en el apartado de dedicado WDS, no hay un estndar con la certificacin correspondiente.

As mismo, este escenario permite muchas optimizaciones, pues no es necesario llevar un control de asociaciones de clientes, roaming, etc. De hecho, si la organizacin de la transmisin se realiza con un control duro, que podra ser similar al HCCA, podran relajarse los protocolos de acceso al medio, con lo que se pueden obtener rendimientos mas elevados e implementar algoritmos de calidad de servicios propietarios ms elaborados.

Cada fabricante tiene su estrategia y esta varia con las nuevas versiones de producto, pero parece razonable que se tienda a un modelo HCCA por su funcionalidad y existencia de normativa al respecto, teniendo en cuenta que en estos sistemas punto a punto el precio es un factor menos crtico.

Pgina 8 de 10

8 Seguridad en redes Wi-Fi

La seguridad en las redes en general es una asignatura pendiente, de que tan solo recientemente se ha tomado conciencia. En las redes inalmbricas esta necesidad es mas patente, por sus propias caractersticas, y forma parte del diseo de las redes Wi-Fi. El mayor problema de seguridad de las redes Wi-Fi viene dado por su dispersin espacial. No est limitada a un rea, a un cable o una fibra ptica, ni tienen puntos concretos de acceso o conexin, si no que se expande y es accesible desde cualquier punto dentro de su radio de cobertura. Esto hace muy vulnerables a las redes inalmbricas pues la seguridad fsica de dichas redes es difcil de asegurar. La posibilidad del acceso o monitorizacin de los datos es una amenaza muy real. Es por esta razn que todos los equipos permiten la encriptacin de las comunicaciones mediante diversos algoritmos, que permiten tanto autenticar a los usuarios para evitar accesos no autorizados, como evitar la captura del trfico de la red por sistemas ajenos a esta. Otra de las consecuencias de ser una red va radio es la influencia de otras fuentes radioelctricas, ya sean otras redes Wi-Fi, equipos radio que trabajen en la misma banda o aparatos de distinta ndole que generen interferencias. Es por tanto posible la generacin de una interferencia premeditada que bloquee la red Wi-Fi y evite el funcionamiento de esta. Aadido a esto, existe al posibilidad de la realizacin de ataques de denegacin de servicio (DoS), tanto los clsicos, comunes a todas las redes, como especficos de las redes Wi-Fi. Tanto ataques reales a los distintos protocolos de autentificacin, como terminales que no cumplan con los tiempos y reglas de acceso impuestas por las normas Wi-Fi, pueden degradar o incluso parar totalmente el

funcionamiento de una red Wi-Fi. Como ejemplo, existen en el mercado terminales, que relajan el cumplimiento de las temporizaciones tanto de AIFS como CW, acortndolas, con lo que se optimiza su funcionamiento al aumentar sus posibilidades de transmitir datos, pero entorpeciendo el del resto de los terminales que s cumplen con la norma. No son equipos pensados para atacar redes, si no que se basa en una decisin comercial que tiene por objetivo conseguir, ante la percepcin del usuario, un mejor funcionamiento del terminal propio frente a la competencia, a consta de sta. Cando se piensa en vulnerabilidad de una red Wi-Fi se considera, como lo hemos hecho hasta ahora, la posibilidad de que un cliente no autorizado acceda a datos de la red. Sin embargo existe otro peligro: la inclusin de un punto de acceso no autorizado en la red. Un atacante puede aadir un punto de acceso que anuncie el mismo nombre de red, confundiendo as a algunos clientes que se podrn llegar a conectar a el en vez de a la red legal. Dependiendo de la elaboracin de la suplantacin, el cliente puede llegar a revelar datos y claves importantes. Para minimizar el peligro que supone la implementacin de una red inalmbrica, existen una serie de normas bsicas a tener en cuenta a la hora de configurar la red, tales como:

Cambiar las configuraciones por defecto: En contra de lo que suele pensarse, son muchos los administradores de la red que no cambian la configuracin fijada en fbrica. Parmetros como las calves y usuarios o el nombre de red se mantienen inalterados. Es cierto que la en la mayora de las instalaciones se cambia el nombre de la red, pero algo tan importante como la clave de acceso del administrador, en muchos casos, se mantiene inalterada, provocando un punto de acceso simple para cualquier intruso. Activar encriptacin: Es una de las prcticas claves y necesarias. Es el mtodo bsico y ms inmediato de impedir accesos no autorizados a la red, as como capturas de trfico y datos privados. Existen varios

sistemas de encriptacin que analizaremos en un punto posterior. Uso de claves fuertes: Puesto que es la llave a la red, las claves utilizadas han de ser suficientemente seguras y complejas de averiguar para asegurar la seguridad de la red. Es frecuente usar claves de solo letras, con palabras comunes y muy habitualmente referenciado a datos personales del administrador, como nombres de hijos, edades, etc. que hacen dicha clave fcil de averiguar. Desactivar el anuncio del nombre de red (SSID): Aunque no es viable en todos los casos, la desactivacin del anuncio del nombre de la red es un elemento de seguridad aadido. Por un lado, impedir al atacante identificar la naturaleza y propietario de la red, y por otro har necesario introducir el nombre de la red manualmente para permitir la asociacin a la red Wi-Fi, por lo que previamente deber ser conocida por el atacante. Filtrados de direcciones MAC: En la mayora de los puntos de acceso es posible especifica una lista de direcciones MAC que sern admitidas, siendo todas las dems rechazadas. La direccin MAC es una direccin de nivel 2 que lleva la tarjeta de red Wi-Fi grabada de fbrica (anloga a la direccin MAC-Ethernet). Por tanto, si se permite solo el acceso a las direcciones MAC pertenecientes a los equipos propios se impedir que algn sistema externo pueda conectarse de forma accidental o premeditada. Sin embargo, hay que hacer notar que existen tarjetas de red que permiten el cambio de la direccin MAC, y en ese caso sera posible para un atacante de nuestra red, asignarle una direccin vlida de alguno de nuestros equipos y evitar esta medida de seguridad. No obstante para ello, el atacante, debera conocer la direccin MAC de alguno de nuestros equipos, lo cual si las medidas de seguridad fsica e informtica estn correctamente implementadas no resultar fcil. Uso de direcciones IP estticas: No un problema real para un hacker con conocimientos, peor si dificulta el

acceso a intrusos ocasionales. Es habitual tener en las redes Wi-Fi la asignacin automtica de direcciones IP, Gateway y DNS. La prctica de asignar las direcciones manualmente a los terminales inalmbricos tiene la ventaja de que el atacante ha de averiguar en primer lugar los datos de la red, y ms importante, nos permite habilitar filtros de manera que solo las direcciones IP asignadas sean permitidas. En caso de que el atacante utilice alguna de las IP asignadas, eventualmente podr ser detectado pues entrar en conflicto con los terminales legales. VLAN propia para la red Wi-Fi. Es interesante la implementacin, en aquellos equipos que lo permitan, de una VLAN especfica para la red Wi-Fi. Al ser una red insegura por su propia naturaleza, es recomendable mantenerla separada en todo momento de la red cableada. As pues, si el punto de acceso, o el controlador asociado, es capaz de gestionar VLANs, mantener el trfico proveniente de la red Wi-Fi en una VLAN distinta permitir implementar mecanismos de seguridad y acceso suplementarios que controlen el acceso de los usuarios Wi-Fi a los datos de la red corporativa. Instalacin de un Firewall: Relacionado con el punto anterior, el acceso de los clientes Wi-Fi a la red cableada debera ser gestionado por un Firewall, ya sea actuando de puente entre las correspondientes VLANs o como elemento fsico de control, interponindose en flujo de trfico Wi-Fi. En cualquier arquitectura, la inclusin de un firewall nos permitir implementar polticas de acceso seguras y complejas que aseguren que, aunque algn intruso hubiera conseguido conectarse a la red inalmbrica, no progrese hasta tener acceso a datos sensibles. Estas medidas, por s mismas, correctamente implementadas proporcionan seguridad suficiente para entornos no sensibles. Sin embargo existe la posibilidad de aumentar la seguridad mediante

tcnicas avanzadas, parte de las cuales precisan de la participacin de un controlador de puntos de acceso.

8.1

Mtodos de encriptacin

Las redes Wi-Fi incorporan la posibilidad de encriptar la comunicacin. Es una prctica recomendable ya que al ser un medio inalmbrico, de no hacerlo seria muy simple capturar el trfico que por ella circula y por tanto la captura, por personas no deseadas, de datos sensibles. A lo largo del desarrollo de las redes Wi-Fi han ido surgiendo diferentes mtodos de encriptacin de las comunicaciones, evolucin necesaria pues los distintos mtodos han resultado ser vulnerables y ha sido necesario implementar algoritmos mas seguros que solventaran los problemas de los anteriores. Estos, a su vez, van demandando ms recursos de los equipos que los implementan por lo que la solucin adoptada ser siempre un compromiso entre rendimiento y seguridad. Los mtodos estndar disponibles se detallan a continuacin.

WAP: Al inicio de las redes Wi-Fi ya se vio que las redes inalmbricas tenan problemas de seguridad intrnsecos a su naturaleza. Por esta razn, dichas redes nacieron con la posibilidad de activar encriptacin y accesos mediante claves, siendo WAP el primer mtodo que se implement. Las siglas WAP provienen del ingls Wired Equivalent Privacy (Privacidad equivalente al cable). Ya en el mismo nombre se observa cual era el objetivo de esta encriptacin, dar a las redes inalmbricas la misma seguridad que exista en las redes cableadas. Sin embargo la implementacin de este protocolo adolece de problemas de diseo, que hace que si un equipo se encuentra dentro del alcance de la red, pueda capturar los paquetes de esta, y con la suficiente cantidad de paquetes capturados se pueda averiguar la clave de la red, y por tanto tener acceso a ella. El proceso de captacin de la clave de la red se puede hacer con herramientas pblicas gratuitas y tan solo tarda unos pocos minutos.

WAP permite claves de diversas longitudes de bits, lo cual tericamente aumenta su seguridad, pero en la prctica, y debidos a los problemas existentes en la implementacin de este protocolo, la nica repercusin de utilizar una clave mas larga es que aumenta el tiempo necesario para averiguar la clave de la red, pero esta sigue siendo vulnerable. Dentro de WEP se reconocen dos mtodos de autentificacin de usuarios: Open System y Shared Key. El mtodo denominado Open System no implementa realmente autentificacin. El punto de acceso permitir que se una cualquier cliente, aunque posteriormente se obligar a que toda comunicacin de datos sea codificada segn el algoritmo dictado por WEP. Por el contrario Shared Key dicta que los clientes tendrn que utilizar su clave WEP para autentificarse con el punto de acceso y solo aquellos que tengan las credenciales correctas sern admitidos por el punto de acceso como clientes. En la prctica es recomendable utilizar autentificacin Shared Key, pues Open System no proporciona realmente una autentificacin de los clientes, solo encriptacin de las comunicaciones, y aunque sera suficiente para preservar los datos, expone al punto de acceso a ataques de denegacin de servicio (DoS). Este protocolo no implementa ninguna gestin de claves. La clave utilizada es compartida por el punto de acceso y todos los clientes y debe ser distribuida a estos manualmente. Una consecuencia de ello es que con tener acceso a un solo equipo, se tiene la clave que compromete a todos los de la red. Actualmente, por los problemas descritos se aconseja utilizar algn otro mtodo de los disponibles, recurriendo solo a este sistema si no existiera ninguna alternativa viable y procurando acompaarlo de algn otro protocolo de encriptacin general como puede ser IPsec o SSL.

WPAv1: El protocolo de seguridad WPA (Wi-Fi Protected Access) fue desarrollado por la Wi-Fi Alliance como respuesta a los fallos de seguridad detectados en WAP. Sin embargo, la seguridad proporcionada por este nuevo protocolo, se demostr que poda ser rota si se

capturaban los paquetes que intercambian el punto de acceso y el cliente durante el proceso de autentificacin. Con esa informacin, si la clave es corta y sencilla, lo cual, aunque no debiera, suele ser lo mas normal, se puede averiguar la clave y por tanto acceder a los datos de la red. Tambin se detectaron puntos de inseguridad en el protocolo que, aunque a da de hoy no han sido explotados por herramientas pblicas, no se descarta que aparezca el software necesario para aprovechar dicha vulnerabilidad. WPA incorpora varios sistemas de autentificacin y encriptacin que aportan seguridad extra, entre los que cabe destacar: o TKIP: Siglas de Temporal Key Integrity Protocol, se basa en un sistema de verificacin de integridad del paquete, es decir, que este no ha sido alterado durante la transmisin, y el uso de una clave que vara durante la comunicacin, con lo que se solucionan problemas de WAP, pues la clave variar en menor tiempo y nmero de paquetes de los que se necesitan para averiguarla, por lo que no se dispondr de informacin suficiente para hacerlo, y aunque se llegara a obtener esta, ya no sera vlida para la comunicacin en curso, pues la clave habra cambiado. o AES: Algoritmo de encriptacin mas seguro que TKIP, cuya implementacin no es obligatoria en sistemas WPAv1. Como contrapartida a esta mayor seguridad, demanda una mayor capacidad de proceso por parte de los puntos de acceso y los clientes. No obstante debera ser elegido, si es posible, ante TKIP. o EAP: Es un protocolo de autentificacin y encriptacin que va asociado al protocolo 802.1x y que, por tanto, trabaja en conjuncin con servidores de autentificacin tipo RADIUS. Hace aos se encontraron problemas de seguridad en el protocolo EAP, lo que desencadeno en nuevas variantes que, mediante el uso de protocolos de seguridad asociados, pretendan solventar los problemas descubiertos. De este proceso surgi lo que se llamo Extended EAP, con diferentes variantes. Es de destacar que alguna de estas variantes como EAP-LEAP tienen fallos conocidos y su seguridad puede ser evitada con herramientas pblicas y gratuitas.

WPAv2: Ante la deteccin de la existencia de una brecha en la seguridad del protocolo utilizado por WPAv1, la WiFi Alliance desarrollo una segunda versin que corrige dicho problema. Esta segunda versin obliga a la implementacin del protocolo de encriptacin AES, siendo este de uso por defecto en la norma WPAv2. Los protocolos WPA permiten la autentificacin mediante una clave compartida entre cliente y punto de acceso, o haciendo uso de mecanismos mas elaborados mediante el uso de un servidor de credenciales. Originalmente ambos tipos de arquitectura no tenan un nombre normalizado, y solan recibir el nombre de WPA el que hacia uso de servidor centralizado y WPA-PSK el que hacia uso de clave compartida (que es el significado de PSK, Pre-shared Shared Key). Actualmente se ha normalizado el uso de los trminos personal para el uso de clave compartida, y Enterprise a aquella que provee autentificacin contra un servidor RADIUS mediante protocolo 802.1x.

8.2

Autentificacin 802.1x

La norma 802.1x surgi como una respuesta a la necesidad de proporcionar seguridad a nivel de usuario. No es de uso exclusivo en redes Wi-Fi, pues de hecho fue creada para dar seguridad a redes Ethernet, pero se vio que poda ser un elemento importante para las redes Wi-Fi y se integro en estas. El protocolo 802.1x utiliza para autentificacin y encriptacin el protocolo EAP, normalmente en alguna de las variantes Extended EAP y cuya preferencia depender del fabricante de los equipos. En una arquitectura 802.1x existen siempre tres elementos (Se dan los trminos ingleses pues son los que se utilizan mayoritariamente):

Suplicant (Peticionario): Se designa por este trmino al cliente que desea acceder a una red e intenta autentificarse. En una red Wi-Fi es el cliente que desea conectar con el punto de acceso para entrar en la red. Authenticator (Autentificador): Es el equipo que recibe la peticin de conexin del cliente y que por tanto ha de

tramitar la autentificacin de este. En el caso de las redes Wi-Fi este rol lo lleva a cabo el punto de acceso. Athenticator Server (Servidor de Autentificacin): Es el equipo que mantiene y gestiona de forma centralizada las credenciales de los usuarios. Dicho servicio se implementa mediante un servidor RADIUS. En la siguiente ilustracin se puede observar la comunicacin y relacin existente entre los diferentes elementos